Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès à un compte de membre OrganizationAccountAccessRole doté de AWS Organizations

Lorsque vous créez un compte membre à l'aide du AWS Organizations console, AWS Organizations crée automatiquement un IAM rôle nommé OrganizationAccountAccessRole dans le compte. Ce rôle possède les autorisations d'administration complètes du compte membre. La portée de l'accès pour ce rôle inclut tous les principaux du compte de gestion, si bien que le rôle est configuré pour accorder cet accès au compte de gestion de l'organisation.

Vous pouvez créer un rôle identique pour un compte membre invité en suivant les étapes indiquées dans Création OrganizationAccountAccessRole d'un compte invité avec AWS Organizations.

Pour utiliser ce rôle afin d'accéder au compte membre, vous devez vous connecter en tant qu'utilisateur du compte de gestion disposant des autorisations pour assumer le rôle. Pour configurer ces autorisations, exécutez la procédure suivante. Nous vous recommandons d'accorder des autorisations à des groupes plutôt qu'à des utilisateurs pour faciliter la maintenance.

AWS Management Console
Pour autoriser les membres d'un IAM groupe du compte de gestion à accéder au rôle

  1. Connectez-vous à la IAM console en https://console.aws.amazon.com/iam/tant qu'utilisateur disposant des autorisations d'administrateur dans le compte de gestion. Cela est nécessaire pour déléguer des autorisations au IAM groupe dont les utilisateurs accèderont au rôle dans le compte membre.

  2. Commencez par créer la politique gérée dont vous aurez besoin ultérieurement dans Étape 11.

    Dans le panneau de navigation, choisissez Politiques, puis Créer une politique.

  3. Dans l'onglet Éditeur visuel, choisissez Choisir un service, tapez STS dans le champ de recherche pour filtrer la liste, puis choisissez l'STSoption.

  4. Dans la section Actions, tapez assume dans la zone de recherche pour filtrer la liste, puis choisissez l'AssumeRoleoption.

  5. Dans la section Ressources, choisissez Spécifique, choisissez Ajouter ARNs, puis tapez le numéro de compte du membre et le nom du rôle que vous avez créé dans la section précédente (nous vous recommandons de le nommerOrganizationAccountAccessRole).

  6. Choisissez Ajouter ARNs lorsque la boîte de dialogue affiche le bon résultatARN.

  7. (Facultatif) Si vous souhaitez exiger une authentification multifactorielle (MFA) ou restreindre l'accès au rôle à partir d'une plage d'adresses IP spécifiée, développez la section Conditions de demande et sélectionnez les options que vous souhaitez appliquer.

  8. Choisissez Suivant.

  9. Sur la page Réviser et créer, entrez le nom de la nouvelle politique. Par exemple : GrantAccessToOrganizationAccountAccessRole. Vous pouvez également ajouter une description si vous le souhaitez.

  10. Choisissez Créer une politique pour enregistrer votre nouvelle politique gérée.

  11. Maintenant que vous disposez de la politique, vous pouvez l'attacher à un groupe.

    Dans le volet de navigation, choisissez Groupes d'utilisateurs, puis choisissez le nom du groupe (et non la case à cocher) dont vous souhaitez que les membres puissent assumer le rôle dans le compte membre. Si nécessaire, vous pouvez créer un nouveau groupe.

  12. Choisissez l'onglet Autorisations, puis Ajouter des autorisations, et enfin Attacher des politiques.

  13. (Facultatif) Dans la zone Rechercher, vous pouvez commencer à taper le nom de votre politique pour filtrer la liste jusqu'à ce que le nom de la politique que vous venez de créer aux étapes Étape 2 à Étape 10 apparaisse. Vous pouvez également filtrer tous les AWS politiques gérées en choisissant Tous les types, puis en choisissant Géré par le client.

  14. Cochez la case à côté de votre politique, puis choisissez Joindre des politiques.

IAMles utilisateurs membres du groupe sont désormais autorisés à passer au nouveau rôle dans le AWS Organizations console en utilisant la procédure suivante.

AWS Management Console
Pour endosser le rôle pour le compte membre

Lorsqu'il utilise le rôle, l'utilisateur dispose des autorisations d'administration dans le nouveau compte membre. Demandez à vos IAM utilisateurs membres du groupe de procéder comme suit pour passer au nouveau rôle.

  1. Dans le coin supérieur droit du AWS Organizations console, choisissez le lien contenant votre nom de connexion actuel, puis choisissez Changer de rôle.

  2. Entrez l'ID de compte et le nom de rôle fournis par votre administrateur.

  3. Pour Nom d'affichage, entrez le texte que vous souhaitez afficher dans la barre de navigation dans le coin supérieur droit à la place de votre nom d'utilisateur quand vous utilisez ce rôle. Vous pouvez éventuellement choisir une couleur.

  4. Choisissez Changer de rôle. À présent, toutes les actions que vous exécutez sont effectuées avec les autorisations accordées au rôle que vous avez endossé. Vous ne disposez plus des autorisations associées à votre IAM utilisateur d'origine jusqu'à ce que vous reveniez en arrière.

  5. Lorsque vous avez terminé d'effectuer des actions qui nécessitent les autorisations du rôle, vous pouvez redevenir votre IAM utilisateur normal. Choisissez le nom du rôle dans le coin supérieur droit (celui que vous avez spécifié comme nom d'affichage), puis cliquez sur Retour à UserName.